第4章 アイデンティティーおよびアクセス管理
Red Hat Ceph Storage は、以下の ID およびアクセス管理を提供します。
- Ceph Storage クラスターのユーザーアクセス
- Ceph Object Gateway ユーザーアクセス
- Ceph Object Gateway LDAP/AD 認証
- Ceph Object Gateway OpenStack Keystone 認証
4.1. Ceph Storage クラスターのユーザーアクセス
ユーザーを特定し、中間者攻撃から保護するために、Ceph は cephx 認証システムを提供し、ユーザーおよびデーモンを認証します。cephx の詳細は、Ceph user management を参照してください。
cephx プロトコルは、転送時のデータ暗号化または保存時の暗号化には対応 していません。
Cephx は共有シークレットキーを使用して認証を行います。つまり、クライアントとモニタークラスターの両方にはクライアントの秘密鍵のコピーがあります。認証プロトコルは、実際にキーを公開することなく、両方の当事者がキーのコピーを持っていることをお互いに証明できるようなものです。これは相互認証を提供します。つまり、ユーザーがシークレットキーを所有し、ユーザーにはシークレットキーのコピーがあることを確認します。
ユーザーは、Ceph クライアントを使用して Red Hat Ceph Storage クラスターデーモンと対話する個人またはアプリケーションなどのシステムアクターです。
Ceph は、デフォルトで有効になっている認証および認可で実行されます。Ceph クライアントは、通常コマンドラインを使用して、指定したユーザーの秘密鍵を含むユーザー名とキーリングを指定できます。ユーザーとキーリングが引数として提供されていない場合、Ceph は client.admin 管理ユーザーをデフォルトとして使用します。キーリングが指定されていない場合は、Ceph が Ceph 設定の keyring 設定を使用してキーリングを探します。
Ceph クラスターを強化するには、キーリングは、現在のユーザーおよび root に のみ 読み取り/書き込み権限を付与します。client.admin 管理ユーザーキーを含むキーリングは root ユーザーに制限する必要があります。
認証を使用するように Red Hat Ceph Storage クラスターを設定するための詳細は、Red Hat Ceph Storage 5 Configuration Guide を参照してください。具体的には、Ceph 認証の設定 を参照してください。
